Muchos de los fraudes que sufren los clientes de las operadoras se inician con el acceso del atacante al área de cliente utilizando los credenciales de la víctima. Gracias a los datos personales procedentes de las fugas que se producen en las empresas cada cierto tiempo y que se comercian en la web profunda, los atacantes pueden preseleccionar a sus víctimas conociendo datos básicos, a partir de los que personalizan acciones de ingeniería social para conseguir nuevos datos sensibles.
Por ejemplo, algunos comerciales agresivos han utilizado este método para pedir por teléfono a la víctima el código de verificación que la operadora manda para dar acceso al área cliente, con el fin de conocer su contrato y tomar control de las gestiones.
Una vez dentro del área de cliente, el intruso puede modificar los datos de contacto que se utilizarán para confirmar futuras operaciones. Uno de ellos es el email. En fraudes como la financiación de un móvil de alta gama a nombre de la víctima, este método se ha utilizado para autorizar la solicitud del terminal.
Cuando el fraude consiste en el duplicado de la tarjeta SIM, normalmente con el fin de recibir los mensajes SMS de verificación de operaciones bancarias, la operadora puede acabar pagando hasta 200.000 € de sanción.
Nueva funcionalidad Gestión de Dispositivos de Orange y Jazztel
Con el fin de limitar este tipo de ataques, desde MásOrange han implementado1 la funcionalidad Gestión de Dispositivos en el área de clientes de sus marcas Orange y Jazztel.
Cada vez que se intente iniciar sesión desde un nuevo dispositivo o la petición levante las sospechas de los sistemas de alerta (IP extranjera, agente de usuario poco habitual, etc.), se enviará una notificación al cliente mediante SMS, WhatsApp y email con el fin de que confirme mediante un segundo factor de autenticación que efectivamente es él el que está realizando la acción.
De forma similar a como se hace en otros servicios online, el área cliente recordará los dispositivos habituales para no pedir confirmación innecesarias.
